Znalost metod útoku vám umožní vybudovat efektivní obrannou strategii - toto pravidlo je relevantní nejen v armádních kruzích, ale také na internetu. Pochopením toho, jak hackeři hackují webové stránky, budete moci předem zavřít možné chyby zabezpečení svého zdroje.
Instrukce
Krok 1
„Nahráním prostředí na web“znamená použití chyby zabezpečení na webu k vložení škodlivého skriptu (webového prostředí), který umožňuje hackerovi ovládat web někoho jiného prostřednictvím příkazového řádku. Nejjednodušší prostředí PHP vypadá takto:
Krok 2
Hacker nemusí vytvářet svůj vlastní webový shell, takové programy byly psány již dlouhou dobu a mají velmi velkou sadu funkcí. Úkolem hackera je nahrát na web připravený shell, obvykle se k tomu používají injekce SQL a PHP.
Krok 3
Injekce SQL využívá chyby v přístupu k databázi. Vložením svého kódu do požadavku může hacker získat přístup k databázovým souborům - například k přihlašovacím údajům a heslům, údajům o bankovních kartách atd. Injekce PHP jsou založeny na chybách ve skriptech PHP a umožňují spuštění kódu třetí strany na serveru.
Krok 4
Jak víte, že váš web obsahuje chyby zabezpečení? Je možné ručně zadat určité příkazy, zadat hodnoty do adresního řádku atd., Ale to vyžaduje určité znalosti. Neexistuje také žádná záruka, že otestujete všechny možné možnosti. Proto použijte k ověření specializované nástroje - například program XSpider. Jedná se o naprosto legální program vytvořený pro správce sítě, s jehož pomocí můžete zkontrolovat zranitelnost svého webu. Jeho demo najdete online.
Krok 5
Existuje mnoho programů pro hledání zranitelností vytvořených hackery. Pomocí těchto nástrojů může správce zkontrolovat svůj web pomocí stejných nástrojů, které by se ho mohly pokusit hacknout. Chcete-li tyto nástroje najít, vyhledejte „skenery SQL“nebo „skenery zranitelnosti PHP“. Příkladem nástroje, který umožňuje za přítomnosti chyby zabezpečení SQL získávat informace z databáze, je Havij - Advanced SQL Injection Tool. Svůj web můžete zkontrolovat na přítomnost slabých míst SQL pomocí hackerského nástroje NetDeviLz SQL Scanner. Zjištěné chyby zabezpečení by měly být okamžitě odstraněny.